1 / 78

GESTION DE PARCS D’ORDINATEURS

GESTION DE PARCS D’ORDINATEURS. INF-1017. Contenu du cours 4. Stratégies de groupe Composant d’une stratégie de groupe Objets stratégies de groupe Gestion des stratégies de groupe Accès à une stratégie de groupe Ordre d’héritage Annulation de l’héritage Définir l’étendue d’une GPO

rasha
Download Presentation

GESTION DE PARCS D’ORDINATEURS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. GESTION DE PARCS D’ORDINATEURS INF-1017

  2. Contenu du cours 4 • Stratégies de groupe • Composant d’une stratégie de groupe • Objets stratégies de groupe • Gestion des stratégies de groupe • Accès à une stratégie de groupe • Ordre d’héritage • Annulation de l’héritage • Définir l’étendue d’une GPO • Création d’un objet stratégie de groupe (GPO) • Filtrage des GPO avec les ACL • Exemple de GPO: Mots de passe complexes

  3. Contenu du cours 4 • Stratégies de groupe • Éditeur de GPO (paramètres de configuration) • Recherche de liens de GPO • Actualisation de la stratégie de groupe • Spécifier des scripts avec des stratégies de groupe • Stratégie de groupe et redirection de dossier • Paramètres de sécurité • Modèles d’administration • Restreindre Internet Explorer • Empêcher l’installation ou l’exécution des logiciels non autorisés

  4. Contenu du cours 4 • Stratégies de groupe • Définir la stratégie de mot de passe et verrouillage de compte • Dépannage des stratégies de groupe • Exécution d’une requête RSoP • Mode planification RSoP • Mode journalisation • LECTURES: Chapitre 9 (WIN SERVER 2003) • Notes de cours (site ftp UQTR)

  5. STRATÉGIE DE GROUPE • Stratégie de groupe (GPO) • Les GPO permettent de configurer et gérer des ordinateurs et des utilisateurs. • Les GPO peuvent être appliquées à un domaine complet, aux UO ou à des groupes d’utilisateurs ou d’ordinateurs. • Les GPO peuvent utilisées pour par exemple: • Déployer des application à grande échelle • Définir divers paramètres de configuration de l’environnement de travail d’utilisateurs • Prévenir l’installation défendue de programmes ou d’applications

  6. STRATÉGIE DE GROUPE • Stratégie de groupe (GPO) • Les GPO sont catégorisées en trois groupes distinct: User, Computer, Administrative Template • GPO pour des utilisateurs (exemples): • Comportements spécifiques du OS • Paramètres du bureau • Paramètres de sécurité • Assigner et publier des options d’applications • Paramètres d’applications • Options de redirection de fichiers • Scripts divers (logon, logout) • Ces GPO sont appliquées au logon

  7. STRATÉGIE DE GROUPE • Stratégie de groupe (GPO) • GPO pour des ordinateurs(exemples): • Comportements spécifiques du OS • Comportements du bureau • Paramètres de sécurité • Options d’applications • Paramètres d’applications • Scripts divers (strartup, shutdown) • Ces GPO sont appliquées lors du démarrage du OS

  8. STRATÉGIE DE GROUPE • Stratégie de groupe (GPO) • GPO Administrative template • Plusieurs fichiers template (.adm) appelés administrative template fournissent des informations stratégiques sur chaque item dans le dossier Administrative Template. • Les Administrative Template comportent aussi des paramètres du registre pour les items du dossier User Configuration et Computer Configuration.

  9. STRATÉGIE DE GROUPE • Composant d’une stratégie de groupe • La stratégie de groupe peut s’appliquer à un domaine ou à aucun domaine (stratégies de sécurité locales) et est constituée de plusieurs composantes configurables: • Modèles d’administration: Fournissent des informations de stratégie pour les éléments qui apparaissent sous le dossier Modèles d’administrations. Ce dossier est présent dans l’arborescence de l’Éditeur d’objet de Stratégie de groupe. Ces politiques affectent l’interface utilisateur, les outils disponibles et les configurations du bureau. • Paramètres de sécurité: Configure la sécurité des utilisateurs, des ordinateurs et des domaines. Limitent l’accès des utilisateurs aux GPO systèmes et comptes utilisateurs.

  10. STRATÉGIE DE GROUPE • Composant d’une stratégie de groupe • La stratégie de groupe est constituée de plusieurs composantes configurables: • Scripts: Précise les scripts d’arrêt et de démarrage des ordinateurs ainsi que les scripts d’ouverture et de fermeture de session • Redirection de dossiers: Positionne les dossiers spéciaux (dossiers dans les profils d’utilisateurs: ex. menu Démarrer et le Bureau) tels que Mes Documents pour qu’il soient stockés dans un emplacement centralisé ou spécifie les dossiers d’application sur le réseau • Logiciel: Attribue les applications aux utilisateurs par publication de logiciels sur le réseau

  11. STRATÉGIE DE GROUPE • Composant d’une stratégie de groupe • Objets stratégie de groupe • Les paramètres de la stratégie de groupe sont stockés dans un objet stratégie de groupe (GPO) • Les GPO sont stockées au niveau du domaine et sont associés à un objet AD, un site, un domaine, un contrôleur de domaine ou une OU • Plusieurs GPO peuvent s’appliquer à un domaine, DC, OU • Une GPO peut être liée à plusieurs sites, domaines, DCs, OUs

  12. STRATÉGIE DE GROUPE • Gestion des Stratégies de groupe (GPO) • Les GPO sont héritées et cumulatives. Lorsqu’une GPO est associée à un conteneur AD cette GPO est aussi appliquée à tous les ordinateurs et comptes utilisateurs du conteneur • WINDOWS SERVER 2003 applique le modèle LSDOU pour l’application de l’héritage. L’ordre d’application des GPO et leur héritage suit l’ordre suivant: Local Computer (L) -> Site (S) -> Domain (D) -> Organizational unit (OU) • Accès à une stratégie de groupe • Il est possible de créer et/ou modifier les GPO selon le type de stratégie de groupe que vous voulez mettre en oeuvre

  13. STRATÉGIE DE GROUPE • Gestion des Stratégies de groupe • Accès à (application d’) une stratégie de groupe

  14. STRATÉGIE DE GROUPE • Gestion des Stratégies de groupe • Accès à (application d’) une stratégie de groupe

  15. STRATÉGIE DE GROUPE • Gestion des stratégies de groupe • Ordre d’héritage

  16. STRATÉGIE DE GROUPE • Gestion des stratégies de groupe • Ordre d’héritage • Règles générales GPO Conteneur parent Conteneur fils Conteneur fils

  17. STRATÉGIE DE GROUPE • Gestion des Stratégies de groupe • Ordre d’héritage • Règles générales • Une GPO parent s’applique aux fils • Par contre, si une GPO spécifique est appliquée au fils et qu’elle contredit celle du parent seule celle du fils s’applique • Si les GPOs ne se contredisent pas elles peuvent être toutes les deux mises en oeuvre

  18. STRATÉGIE DE GROUPE • Gestion des Stratégies de groupe • L’ordre d’héritage des GPO

  19. STRATÉGIE DE GROUPE • Gestion des Stratégies de groupe • Exemple d’héritage des GPO

  20. STRATÉGIE DE GROUPE • Gestion des Stratégies de groupe • Exemple de blocage de l’héritage des GPO No Override

  21. STRATÉGIE DE GROUPE • Gestion des Stratégies de groupe • Forcer l’héritage • Marche à suivre pour positionner l’option Ne pas passer outre au niveau d’un conteneur parent • Ouvrez l’objet GPO à administrer • Cliquez-droit sur la GPO et sélectionnez Ne pas passer outre (No override) dans la menu contextuel (force l’application des GPO) • Cliquez OK • Annulation de l’héritage • Une seconde possibilité est de cocher la case à cocher Bloquer l’héritage de stratégies dans la boîte de dialogue Propriétés de GPO

  22. STRATÉGIE DE GROUPE • Gestion des Stratégies de groupe • Forcer l’héritage (enforced)

  23. STRATÉGIE DE GROUPE • Gestion des Stratégies de groupe • Annuler l’héritage X

  24. STRATÉGIE DE GROUPE • Gestion des Stratégies de groupe • Modification de l’héritage • Création d’une GPO au niveau du domaine qui installe l’antivirus avec l’option No Override activée • Création d’une GPO au niveau du domaine qui installe la suite OFFICE • Au niveau de l’OU Payroll, activer l’option Block Policy Inheritance • Modifier (filtrer) le DACL du GPO (accounting application) pour que l’application de la GPO soit refuser (DENY) au groupe de machines des administrateurs de l’OU Payroll

  25. STRATÉGIE DE GROUPE • Gestion des stratégies de groupe • Définir l’étendue d’une GPO • Pour établir l’étendue d’une GPO, il faut créer des groupes de sécurité et attribuer uniquement les permissions Lire et Appliquer la stratégie de groupe aux groupes auxquels s’applique la GPO • Pour paramétrer les accès aux GPO: • Ouvrez la GPO à administrer avec l’Éditeur de Stratégies de groupe • Cliquez-droit sur la GPO et sélectionnez Propriétés • Cliquez sur l’onglet Sécurité • Ajouter ou supprimez des groupes ou modifiez des paramètres, cliquez sur OK autant de fois qu’il y a de fenêtres d’ouvertes

  26. STRATÉGIE DE GROUPE • Gestion des stratégies de groupe • Définir l’étendue d’une GPO • Paramétrage de l’étendue d’une GPO

  27. STRATÉGIE DE GROUPE • Gestion des stratégies de groupe • Définir l’étendue d’une GPO • Paramétrage des stratégies des groupes de sécurité

  28. STRATÉGIE DE GROUPE • Création d’un objet stratégie de groupe • Étapes de configuration d’une GPO • Démarrez Utilisateurs et ordinateurs AD • Cliquez-droit sur l’objet pour lequel vous désirez créer une GPO et sélectionnez Propriétés dans le menu contextuel • Cliquez sur l’onglet Stratégies de groupe puis sur Ajouter • Saisissez le nom de la nouvelle GPO et choisissez un des boutons suivants: • Ajouter: Pour ajouter un lien à la nouvelle stratégie • Modifier: Pour ouvrir la nouvelle GPO avec l’Éditeur de Stratégie de groupe • Options: Positionne l’option Ne pas passer outre ou désactive la GPO

  29. STRATÉGIE DE GROUPE • Création d’un objet stratégie de groupe • Étapes de configuration du GPO • Saisissez le nom du nouveau GPO et choisissez un des boutons suivants: • Supprimer: Supprime la GPO ou la retire de la liste (reste dans AD mais n’est plus appliquée) • Propriétés: Paramètre le filtrage de la GPO à l’aide des groupes de sécurité • Cliquez sur OK pour terminer

  30. STRATÉGIE DE GROUPE • Création d’un objet stratégie de groupe • Propriétés de la GPO par défaut du domaine

  31. STRATÉGIE DE GROUPE • Création d’un objet stratégie de groupe • Liste des autorisations du GPO

  32. STRATÉGIE DE GROUPE • Création d’un objet stratégie de groupe • Changement de la priorité des GPO (ordre de mise en œuvre)

  33. STRATÉGIE DE GROUPE • Création d’un objet stratégie de groupe • Ajouter une GPO par liaison

  34. STRATÉGIE DE GROUPE • Création d’un objet stratégie de groupe • Filtrage des GPO avec les ACL • Les groupes Admins du domaine et Administrateurs possèdent l’autorisation Lire et Écrire • Le groupe Utilisateurs authentifiés possède les autorisations Lire et Appliquer la stratégie de groupe • Si vous créez par exemple une GPO pour restreindre des paramètres du Bureau mais vous ne voulez pas que cette GP s’applique à tous. Cette GP s’applique aux Utilisateurs authentifiés (tous sauf les invités), ce qui veut dire que les groupes Admins du domaine et Administrateurs reçoivent les paramètres de cette GP • Pour éviter que ces deux groupes ne récupèrent cette GP, cochez la case Refuser vis-à-vis l’autorisation Appliquer la stratégie de groupe

  35. STRATÉGIE DE GROUPE • Création d’un objet stratégie de groupe • Filtrage des GPO avec les ACL • ACL d’une GPO avec le groupe Utilisateurs authentifiés

  36. STRATÉGIE DE GROUPE • Création d’un objet stratégie de groupe • Filtrage des GPO avec les ACL • ACL d’un GPO sans le groupe Utilisateurs authentifiés

  37. STRATÉGIE DE GROUPE • Création d’un objet stratégie de groupe • Filtrage des GPO avec les ACL

  38. STRATÉGIE DE GROUPE • Création d’un objet stratégie de groupe • Exemple de GPO: Mots de passe complexes • Rappel sur ce qui pour MicroSoft est considéré comme un mot de passe complexe (fort): • Au moins six caractères de long • Contient 3/4 types de caractères (Lettres majuscules, minuscules, nombres ou caractères spéciaux) • Ne contient pas votre nom d’utilisateur • Activation de la stratégie Le mot de passe doit respecter des exigences de complexité

  39. STRATÉGIE DE GROUPE • Création d’un objet stratégie de groupe • Exemple de GPO: Mots de passe complexes • Étapes d’activation • Ouvrez la console Utilisateurs et ordinateurs AD • Cliquez-droit sur l’icône représentant votre annuaire dans le volet gauche, sélectionnez Propriétés. Sélectionnez ensuite l’onglet Stratégie de groupe • Créez une nouvelle GPO, appelé par exemple, Stratégie Mots de passe complexes et cliquez ensuite sur le bouton Modifier pour ouvrir l’Éditeur d’objets de stratégie de groupe • Ouvrez le nœud Configuration ordinateur. Cette stratégie affecte toute action sur l’ordinateur concerné (contrôleur de domaine) • Ouvrez ensuite Paramètres Windows, puis Paramètres de sécurité. Ouvrez ensuite Stratégies de comptes, puis Stratégie de mot de passe

  40. STRATÉGIE DE GROUPE • Création d’un objet stratégie de groupe • Exemple de GPO: Mots de passe complexes • Étapes d’activation • Dans le dossier Stratégie de mot de passe, double-cliquez sur l’entrée Le mot de passe doit respecter des exigences de complexité • Cochez la case Définir ce paramètre de stratégie • Cliquez ensuite Activé • Fermer l’Éditeur de GPO • Déplacez ensuite cette nouvelle stratégie au-dessus de Default Domain Policy dans l’interface graphique (Onglet Stratégie de groupe). Il faut savoir que les GP sont appliquées du bas vers le haut et que Default Domain Policy désactive par défaut la stratégie des mots de passe forts

  41. STRATÉGIE DE GROUPE • Éditeur de GPO (paramètres de configuration) Stratégie de groupe | |---- Stratégie du domaine par défaut | |----Configuration de l’ordinateur | |----Paramètres du logiciel | |----Paramètres WINDOWS | |----Modèles d’administration |----Configuration de l’utilisateur | |----Paramètres du logiciel | |----Paramètres WINDOWS | |----Modèles d’administration

  42. STRATÉGIE DE GROUPE • Éditeur de GPO (paramètres de configuration) • Le nœud Configuration de l’ordinateur permet de personnaliser les stratégies des ordinateurs du réseau • Les GP sont prises en compte au démarrage du système d’exploitation • Les GP s’appliquent à tous les utilisateurs qui ouvrent une session sur cet ordinateur • Ex: Forcer un environnement strict sur des machines localisées dans une salle spécifique • Le nœud Configuration de l’utilisateur contient les paramètres permettant de personnaliser les environnements ou de configurer les GP des utilisateurs du réseau • Les GP sont appliquées lors de l’ouverture de session sur le réseau

  43. STRATÉGIE DE GROUPE • Éditeur de GPO (paramètres de configuration)

  44. STRATÉGIE DE GROUPE • Éditeur de GPO (paramètres de configuration) • Recherche de liens de GPO • Il est important de conserver une trace des liens entre les GPO et les conteneurs AD (domaines, OU) • Pour déterminer les liens d’un GPO: • Ouvrez l’Éditeur de GPO et cliquez-droit sur la GPO • Sélectionnez Propriétés dans le menu contextuel • Cliquez sur l’onglet Liens puis sur Rechercher maintenant pour afficher la liste des liens vers cette GPO

  45. STRATÉGIE DE GROUPE • Éditeur de GPO (paramètres de configuration) • Actualisation de la GPO • Les modifications des GPO sont immédiates mais ne sont pas propagées instantanément aux machines clientes (+/- 90 min). Les ordinateurs clients interrogent la GPO dans les situations suivantes: • L’ordinateur démarre • Un utilisateur ouvre une session • Une application demande une actualisation • Un utilisateur demande une actualisation • Un intervalle d’actualisation de GPO est activé et le délai est écoulé • Les DC rafraîchissent les GPO plus souvent.

  46. STRATÉGIE DE GROUPE • Éditeur de GPO (paramètres de configuration) • Actualisation de la GPO (Intervalle de rafraîchissement) • Pour les GPO de machines clientes: Computer Configuration -> Administrative Templates -> System -> Group Policy -> Group Policy refresh interval for computers • Pour la GPO Default Group Policy d’un DC: Computer Configuration -> Administrative Templates -> System -> Group Policy -> Group Policy refresh interval for domain controllers

  47. STRATÉGIE DE GROUPE • Éditeur de GPO (paramètres de configuration) • Actualisation de la GPO (Intervalle de rafraîchissement) • Pour les GPO de machines clientes

  48. STRATÉGIE DE GROUPE • Éditeur de GPO (paramètres de configuration) • Actualisation de la GPO (Intervalle de rafraîchissement) • Pour la GPO Default Group Policy d’un DC

  49. STRATÉGIE DE GROUPE • Éditeur de GPO (paramètres de configuration) • Spécifier des scripts avec des stratégies de groupe • À partir des nœuds Configuration utilisateur ou Configuration ordinateur en utilisant le nœud Paramètres Windows, vous pouvez spécifier des scripts d’ouverture et de fermeture de session ainsi que des scripts de démarrage et d’arrêt • En sélectionnant le nœud Paramètres Windows vous pouvez ensuite sélectionner le nœud Scripts qui vous permet de sélectionner en double-cliquant sur le type de script dans le volet de droite • Cliquez Ajouter (Add) pour faire afficher la boîte de dialogue Ajouter un Script. Sélectionnez un nom de fichier. Ex. testscript.js pouvant avoir été créé par Notepad et contenant: Wscript.echo(“Voici un script de LOGON“);

  50. STRATÉGIE DE GROUPE • Éditeur de GPO (paramètres de configuration) • Spécifier des scripts avec des stratégies de groupe • Scripts disponibles du nœud Configuration utilisateur

More Related